Çok sayıda tehdit aktörü, Agent Tesla, AsyncRAT, DCRat, NanoCore RAT, NjRAT, Pony, Remcos RAT ve XWorm gibi çeşitli kötü amaçlı yazılımları sunmak için Foxit PDF Reader’daki tasarım kusurunu silah olarak kullanıyor.
Check Point, “Bu istismar, şüphelenmeyen kullanıcıları zararlı komutlar yürütmeye yönlendirebilecek güvenlik uyarılarını tetikliyor” dedi. söz konusu teknik bir raporda. “Bu istismar, e-suçtan casusluğa kadar çok sayıda tehdit aktörü tarafından kullanıldı.”
Korumalı alanlarda veya antivirüs çözümlerinde daha yaygın olan Adobe Acrobat Reader’ın bu özel istismardan etkilenmediğini ve dolayısıyla kampanyanın düşük tespit oranına katkıda bulunduğunu belirtmekte fayda var.
Sorun, potansiyel güvenlik risklerinden kaçınmak için belirli özellikleri etkinleştirmeden önce kullanıcılardan belgeye güvenmeleri istendiğinde, açılır pencerede uygulamanın varsayılan olarak “Tamam” seçeneğini göstermesinden kaynaklanıyor.
Kullanıcı Tamam’ı tıklattığında, varsayılan olarak “Aç” seçeneği ayarlanarak dosyanın ek komutları yürütmek üzere olduğunu bildiren ikinci bir açılır uyarı görüntülenir. Tetiklenen komut daha sonra Discord’un içerik dağıtım ağında (CDN) barındırılan kötü amaçlı bir veriyi indirmek ve yürütmek için kullanılır.
Güvenlik araştırmacısı Antonis Terefos, “Hedeflenen kullanıcının ilk mesajı okuma şansı olsaydı, ikincisi okumadan ‘Kabul Edildi’ olurdu” dedi.
“Bu, Tehdit Aktörlerinin, varsayılan seçenek olarak en ‘zararlı’ olanı sunan bu hatalı mantıktan ve yaygın insan davranışından yararlandığı bir durumdur.”
Check Point, Foxit PDF Reader aracılığıyla açıldığında, bir indiriciyi getirmek için bir komut çalıştıran ve daha sonra belgeler, resimler, arşiv dosyaları da dahil olmak üzere verileri toplamak ve yüklemek için iki yürütülebilir dosyayı alan askeri tema taşıyan bir PDF belgesi tespit ettiğini söyledi. ve veritabanlarını bir komuta ve kontrol (C2) sunucusuna aktarır.
Saldırı zincirinin daha ayrıntılı analizi, indiricinin, virüslü ana bilgisayarın ekran görüntülerini yakalayabilen ve ardından C2 sunucusuna yüklenebilen üçüncü bir veri yükünü bırakmak için kullanılabileceğini ortaya çıkardı.
Casusluğa yönelik olduğu değerlendirilen faaliyet, tehdit aktörüyle ilgili daha önce gözlemlenen taktik ve tekniklerle örtüşmeler nedeniyle DoNot Ekibi (diğer adıyla APT-C-35 ve Origami Elephant) ile ilişkilendirildi.
Aynı tekniği silahlandıran ikinci bir örnek, bir hırsızı ve XMRig ve lolMiner gibi iki kripto para madenci modülünü dağıtmak için çok aşamalı bir dizi kullanıyor. İlginç bir şekilde, bubi tuzaklı PDF dosyalarının bazıları Facebook aracılığıyla dağıtılıyor.
Python tabanlı hırsız kötü amaçlı yazılım, kurbanların kimlik bilgilerini ve çerezlerini Chrome ve Edge tarayıcılarından çalacak donanıma sahip. Madenciler, topworld20241 adlı kullanıcıya ait Gitlab deposundan alınıyor. depo17 Şubat 2024’te oluşturulan , bu yazının yazıldığı an itibariyle hala aktiftir.
Siber güvenlik şirketi tarafından belgelenen başka bir vakada, PDF dosyası Discord CDN’den veri almak için bir kanal görevi görüyor Boş YakalayıcıGitHub’da bulunan ve 6 Ağustos 2023 itibarıyla arşivlenen açık kaynaklı bir bilgi hırsızı.
“Kötü amaçlı bir PDF’nin trello’da barındırılan bir eke köprü içermesi durumunda başka bir ilginç durum ortaya çıktı[.]Terefos, “İndirme sonrasında kötü amaçlı kod içeren ikincil bir PDF dosyası ortaya çıktı.
Foxit Reader kullanıcılarının ‘istismarı’.”
Bulaşma yolu, Remcos RAT’ın teslim edilmesiyle doruğa ulaşır, ancak bu ancak LNK dosyalarının, HTML Uygulamasının (HTA) ve Visual Basic komut dosyalarının ara adımlar olarak kullanılmasını içeren bir dizi adımdan geçtikten sonra gerçekleşir.
Remcos RAT kampanyasının arkasındaki isim olan tehdit aktörü sessizkillertv ve bir olduğunu iddia ediyor etik hacker 22 yılı aşkın tecrübeyle gözlemlendi çeşitli kötü amaçlı araçların reklamını yapmak adlı özel bir Telegram kanalı aracılığıyla sessiz_araçlarFoxit PDF Reader’ı hedef alan şifreleyiciler ve PDF açıklarından yararlanmalar dahil. Kanal 21 Nisan 2022’de oluşturuldu.
Check Point ayrıca kötü amaçlı yazılım içeren PDF dosyalarını oluşturmak için kullanılan Avict Softwares I Exploit PDF, PDF Exploit Builder 2023 ve FuckCrypt gibi .NET ve Python tabanlı PDF oluşturucu hizmetlerini de tespit ettiğini söyledi. DoNot Ekibinin bir .NET PDF oluşturucu kullandığı söyleniyor serbestçe GitHub’da.
Discord, Gitlab ve Trello’nun kullanımı, normal ağ trafiğine uyum sağlamak, tespitten kaçınmak ve kötü amaçlı yazılım dağıtmak amacıyla meşru web sitelerinin tehdit aktörleri tarafından sürekli olarak kötüye kullanıldığını gösteriyor. Foxit sorunu kabul etti ve 2024 3 sürümünde bir düzeltme sunması bekleniyor. Mevcut sürüm: 2024.2.1.25153.
“Bu ‘istismar’, kötü amaçlı faaliyetleri tetiklemenin klasik tanımına uymasa da, Foxit PDF Reader kullanıcılarını hedef alan ve onları anlamadan ‘Tamam’ı tıklamaya ikna eden bir ‘kimlik avı’ veya manipülasyon biçimi olarak daha doğru bir şekilde kategorize edilebilir. ilgili potansiyel riskler var” dedi Terefos.
“Bulaşma başarısı ve düşük tespit oranı, PDF’lerin herhangi bir tespit kuralı tarafından durdurulmadan Facebook gibi pek çok geleneksel olmayan yolla dağıtılmasına olanak tanıyor.”
